Discord 私信钓鱼手法深度剖析：从 Captcha.bot 伪装到助记词窃取

查找币:余老师 | 漏洞披露 | 2026-05-09 22:52 | 3 次浏览 | 0 条回复

查找币漏洞披露安全研究 Web3安全区块链安全

**作者：查找币安全团队** --- ## 一、事件背景与发现 2023年5月16日凌晨，查找币安全团队在进行日常安全监控时，通过某项目官网的Discord邀请链接加入其官方服务器。就在加入服务器的瞬间，一个名为"Captcha.bot"的账号立即发送了私信，要求进行人机验证。这一流程看似正常——许多Discord服务器确实会要求新成员完成验证。然而，正是这个看似合理的请求，揭开了精心设计的钓鱼攻击链条。 ## 二、技术细节：虚假钱包界面的逆向分析 ### 2.1 钓鱼链接的伪装机制点击"Captcha.bot"提供的链接后，页面确实展示了人机验证界面。但在验证通过后，攻击者并未停止——页面立即请求唤起MetaMask钱包。关键点在于：**这个钱包界面并非真实插件弹出，而是由恶意网站 `https://captcha.fm/` 伪造的HTML页面**。 **识别技巧**：当MetaMask插件真实唤起时，浏览器地址栏不会显示"about:blank"。而此次攻击中，钱包界面的地址栏明确显示"about:blank"，这是典型的网页伪造特征。 ### 2.2 密码与助记词的窃取过程我们随意输入密码后，伪造的钱包界面进入"Security Check"流程，要求输入助记词进行验证。通过审查元素发现： - 输入的密码和助记词会被JavaScript加密处理 - 加密后的数据通过HTTP请求发送到恶意服务器 - 攻击者服务器接收后解密，直接获取用户敏感信息 ### 2.3 恶意域名与基础设施分析对恶意域名 `captcha.fm` 进行解析： - IP地址：`172.67.184.152` 和 `104.21.59.223` - 托管服务：Cloudflare（CDN防护） - 注册信息：通过隐私保护服务隐藏由于Cloudflare提供CDN服务，直接溯源攻击者较为困难，但作为安全团队，我们已向Cloudflare提交滥用举报。 ## 三、攻击链分析：从账号伪装到自动化钓鱼 ### 3.1 恶意账号的伪装策略通过分析发送私信的账号，发现： - **账号名称**：Captcha.bot（仿冒知名验证机器人） - **账号类型**：普通用户账号，非官方机器人 - **触发机制**：当新用户加入服务器后，攻击者账号自动检测并立即发送私信这种自动化攻击脚本可以： 1. 监听Discord服务器的新成员加入事件 2. 自动构造钓鱼链接（包含用户ID等参数） 3. 通过私信发送给新用户 ### 3.2 多账号协同攻击我们在服务器内搜索发现，存在多个仿冒的"Captcha.bot"账号。这些账号可能属于同一攻击者或团伙，通过批量注册和伪装，提高钓鱼成功率。项目方团队在收到情报后，迅速在凌晨时段删除了这些恶意账号。 ## 四、二次攻击手法对比：从精致伪装到粗糙诱导 ### 4.1 第二波攻击特征次日，另一名查找币团队成员（感谢@Victory提供素材）加入同一服务器后，再次收到钓鱼私信。此次攻击手法有所不同： | 特征 | 第一波攻击 | 第二波攻击 | |------|-----------|-----------| | 伪装身份 | Captcha.bot机器人 | 官方账号 | | 钓鱼方式 | 伪造MetaMask界面 | 直接引导输入助记词 | | 域名 | captcha.fm | app.importvalidator.org | | 服务器 | Cloudflare | 阿里云（47.250.129.219） | | 技术复杂度 | 高（伪造钱包界面） | 低（直接表单收集） | ### 4.2 攻击手法演变分析第二波攻击虽然手法粗糙，但利用了用户对"官方身份"的信任。攻击者编造"身份验证"故事，引导用户在网页上直接输入助记词。这种手法虽然技术含量低，但针对安全意识薄弱的用户仍可能得手。 ## 五、防护建议与安全配置 ### 5.1 用户端防护措施 1. **立即修改Discord隐私设置** - 禁止服务器内用户私聊：`用户设置 → 隐私与安全 → 允许来自服务器的私信 → 关闭` - 参考官方指南：[Discord安全四步走](https://discord.com/safety/360043857751-Four-steps-to-a-super-safe-account) 2. **识别伪造MetaMask的要点** - 检查地址栏：真实MetaMask插件弹出时，浏览器地址栏不会显示"about:blank" - 验证签名请求：网页请求签名时，务必检查签名内容的哈希值 - 拒绝不明请求：无法确认签名内容时，一律拒绝 3. **助记词与私钥保护原则** - **绝对不要在网页上输入助记词或私钥** - 使用硬件钱包（如Ledger、Trezor）：硬件钱包无法直接导出助记词，极大提高安全性 ### 5.2 项目方防护建议 1. **实时监控与响应** - 建立24小时安全监控机制，及时发现并删除恶意账号 - 设置自动关键词过滤，识别钓鱼链接 2. **新用户安全教育** - 在服务器欢迎频道发布防钓鱼指南 - 使用官方验证机器人（如Captcha.bot官方版）进行验证 3. **社区反馈机制** - 建立快速举报通道，鼓励用户上报可疑行为 - 定期清理不活跃账号，减少被冒用的风险 ## 六、技术总结本次钓鱼攻击展示了Web3生态中常见的社工攻击手法： - **伪装身份**：仿冒知名机器人或官方账号 - **利用信任**：通过"人机验证"等合理场景降低用户警惕 - **多阶段诱导**：从密码输入到助记词验证，逐步获取敏感信息 - **自动化攻击**：实时监控新成员加入并自动发送钓鱼链接安全团队建议用户：**在任何Web3交互中，保持零信任心态**。官方团队绝不会通过私信要求提供助记词或私钥。遇到可疑链接，应通过官方渠道二次确认。 --- **本文由查找币安全团队整理发布** *查找币安全团队持续关注Web3安全动态，提供专业的安全审计与威胁情报服务。如需安全审计或漏洞报告，请联系查找币官方渠道。*

Discord 私信钓鱼手法深度剖析：从 Captcha.bot 伪装到助记词窃取

查找币安全研究院

主题延伸阅读